Tisk opět noční můrou
A tentokrát bohužel nemáme na mysli náklady na nové tonery, zaseklé papíry v podavačích, ani podivně fungující ovladače, ale aktuální zranitelnosti tiskových služeb na operačních systémech Microsoft Windows označované jako PrintNightmare.
V současné době jsou již k dispozici jak mimořádné bezpečnostní aktualizace pro jednotlivé operační systémy (například KB5004945 pro systémy Windows 10 verze 2004 a novější), ale oprava bude obsažena též v příštím běžném cyklu aktualizací. Dříve či později by se tedy oprava měla na pravidelně aktualizovaná zařízení dostat.
A v tomto případě bude rozhodně lepší zvolit to dříve. Arzenál útočníků již pro tuto zranitelnost dostává podporu, například i v tradičních nástrojích jakým je Mimikatz. Nacvičit si proto můžete zrychlené nasazení aktualizace přes WSUS, MECM, nebo Microsoft Intune či manuální instalace přes Microsoft Update.
Zranitelné jsou totiž nejen koncové stanice, ale především serverové operační systémy, které jsou pro útočníky mnohem zajímavější.
Jistě, některé servery mohou sloužit jako regulérní tiskové servery, pokud jste již nepřešli například na službu online tisku z Microsoft 365 a Azure, takzvaný Cloud Print. Ale co takové doménové řadiče nebo takový federační servery či server pro Azure AD Connect? I těch, a právě těch především, se zranitelnost dotýká. Její zneužití zde může napáchat mnohem větší škody.
Jelikož je tato zranitelnost genezí mnoha starších, dá se kombinovat i s dalšími a dá se zneužít lokálně i vzdáleně. Seznam doporučení pro eliminaci možných útoků kromě samotné instalace této opravy je poněkud delší (mimo právě regulérní tiskové servery).
- Vypnout, zakázat a odebrat Print Spooler na serverech, které jej nepotřebují, především DC.
- Zakázat vzdálená připojení k Print Spooler službě pomocí doménových politik.
- Zakázat funkce Point and Print, případně omezit instalaci tiskových ovladačů politikami.
- Oddělit funkce tiskového serveru od ostatních kritických služeb v doméně a na serverech.
- Upravit oprávnění na adresářích tiskové služby a ovladačů pro tiskárny.
Zákazníci využívající Defender for Identity mohou využít doporučení a detekcí Microsoft Defender for Identity Print spooler identity security posture assessments | Microsoft Docs. Stejně tak zákazníci s Defender for Endpoint sledovat doporučení a detekce v reportu „Remote code execution vulnerability in Print Spooler“. Doplňující informace najdete též na stránkách MSRC:
Sdílej v médiích